Chinese and Russian Hackers Using SILKLOADER Malware to Evade Detection
2023/03/16 TheHackerNews — 中国/ロシアのサイバー犯罪エコシステムに属する脅威アクター・グループが、感染させたマシン上に Cobalt Strike をロードするために設計された、新たなマルウェアを使用していることが確認されている。フィンランドのサイバー・セキュリティ企業 WithSecure は、DLL のサイドローディング技術を利用して、商業的アドバイザリを装うソフトウェアを配信する、このマルウェアを SILKLOADERと名付けた。
一般的に、レッドチーム作戦で使用される、正規のポスト・エクスプロイト・ツールである Cobalt Strike に対する検出能力が向上したことで、脅威アクターたちは代替手段を探している。つまり、検出を回避するためにフレームワークを伝播させる、新しい方法を考案する必要性に迫られている。
WithSecure の研究者たちは、「そのための、最も一般的な手法は、パッカー/クリプター/ローダーなどの技術の利用により、自動生成されるビーコン/ステージャーペイロードに複雑さを加えることだ」と述べている。
最近になって、Cobalt Strike コンポーネントへの組み込みが発見された、KoboldLoader/MagnetLoader/LithiumLoader といったローダーなどと、SILKLOADER は同じ目的を持つ。
また、LithiumLoader と類似する点は、DLL サイドローディング方式を採用しているところにある。つまり、悪意の DLL を実行することで、正規のアプリケーションを乗っ取るという点で共通している。
SILKLOADER は、正規の VLC メディアプレーヤーのバイナリ Charmap.exe と一緒にドロップされる、特別に細工されたlibvlc.dllファイルにより、このようなオペレーションを実現する。
2022年 Q4 において、ブラジル/フランス/台湾に所在する広範な組織を標的とする、複数の人間が操作した侵入を分析した結果として、このシェルコード・ローダの存在を特定したと、WithSecure は述べている。
一連の攻撃は失敗に終わったが、このアクティビティはランサムウェア展開の前段階であると疑われ、ランサムウェア Play と大きく重複する戦術とツールが用いられていた。
フランスの、ある社会福祉団体を狙った攻撃では、侵害済の Fortinet SSL VPN アプライアンスを悪用して Cobalt Strike ビーコンを出現させ、ネットワークへの足がかりを取得するという戦術が用いられていた。
WithSecure は、「この脅威アクターは、この社会福祉団体の内側で、数ヶ月間にわたり足場を維持した。その間に、彼らは、探索を行い、認証情報を盗み出し、その後に複数の Cobalt Strike ビーコンを展開しました。しかし、この試みが失敗すると、脅威アクターは SILKLOADER を使用して検知を回避し、ビーコンのペイロードを配信することに切り替えた」と述べている。
それだけでは無い。BAILLOADER と呼ばれる別のローダーは、Cobalt Strike ビーコンの配布にも使用され、この数カ月の間に、Quantum ランサムウェアおよび、GootLoader/IcedID トロイの木馬などの攻撃に関与していたことが分かっている。
BAILLOADER は、Emotet/TrickBot/BazarLoader/IcedID/Conti/Cobalt Strike などを配布するために、さまざまな敵対者により使用されてきたコードネーム Tron との類似性を示しているようだ。
つまり、複数の脅威アクター・グループなどが、Cobalt Strike ビーコン/暗号化装置/サードパーティの関連会社が提供するインフラなどを共有し、異なる戦術で複数の侵入を実現している可能性が指摘されている。
SILKLOADER に関して言うなら、Packer-as-a-Service プログラムを通じて、既製のローダーとして、ロシア系脅威アクターたちに提供されている可能性があるという。
WithSecure は、「このローダーは、ランサムウェア・グループに対して直接に提供される場合もあれば、信頼できるアフィリエイトに Cobalt Strike/Infrastructure-as-a-Service を提供しているグループを通じて提供される場合もある。これらのアフィリエイトの大半は、Conti グループから流れ出た元メンバーや、密接な関係を持っていた脅威アクターたちだと思われる」と述べている。
同社が分析した SILKLOADER のサンプルは、2022年の初期バージョンにまで遡る。それらのローダーは、中国/香港の被害者をターゲットにした、複数の攻撃で使用されたと推察される。
その後の 2022年7月頃には、攻撃の対象は東アジアからブラジル/フランスなどへと移行しており、SILKLOADER 関連のインシデントは、その全てがロシアのサイバー犯罪者に起因するとされている。
現状において、2つの仮説がある。中国のサイバー犯罪エコシステム内で活動する、脅威アクターにより SILKLOADER は作成されたという説と、このローダーは 2022年5月〜2022年7月において、関連する脅威アクターにより使用されたという仮説である。
WithSecure は、「そのビルダーまたはソースコードは、2022年7月〜2022年9月の間に、ロシアの脅威アクターに取得された。オリジナルを作成した中国の脅威アクターは、このローダーを使用しなくなった時点で、ロシアの脅威アクターに売却した」と付け加えている。
SILKLOADER/BAILLOADER の双方は、検出曲線の先を行くために、脅威アクターがアプローチを洗練させ、再構築するという、最新の例に過ぎない。
WithSecure の研究者たちは、「サイバー犯罪のエコシステムが、モジュール化されたサービスを利用するにつれて、単なる脅威グループによる攻撃だと、断定することが不可能になっている。攻撃で用いられる、特定のコンポーネントを追跡することが重要だ」と結論付けている。
これまで、中国とロシアの脅威アクター間の連携という話は聞いたことがありません。この SILKLOADER により、障壁の1つが取り除かれたのでしょうか? なお、2023/03/07 の「SYS01stealer という情報スティーラーを発見:Facebook ビジネス・アカウントなどが標的」では、DLL サイドローディングの仕組みが詳しく解説されています。この手のマルウェアに感染すると、かなり厄介なことになるようです。
IoT OT Security News 
You must be logged in to post a comment.